Tres formas de incrementar la seguridad en las comunicaciones industriales. (Parte III)

La segunda forma que proponemos para incrementar la seguridad en las comunicaciones industriales es la incorporación de tecnologías específicas que doten de seguridad a protocolos industriales no seguros. Para ello se existen, entre otras, las siguientes mejores prácticas y/o tecnologías:

• La segregación de redes utilizando whitelisting de protocolos.
• La utilización de estándares tradicionalmente vinculados a los entornos IT para encriptar y autenticar protocolos industriales (TLS, SSL, IPsec…)
• La incorporación de dispositivos que permiten el cifrado del tráfico industrial a través de algoritmos como AES256.

El whitelisting de protocolos es una técnica de segmentación que consiste en incorporar dispositivos de electrónica de red que segreguen redes asegurando que el protocolo hablado entre los dispositivos de campo entre sí o bien entre los dispositivos y los sistemas de tiempo real es uno determinado en el que se ha realizado una lista blanca de funciones y objetos específicos asociados al protocolo seleccionado. Es decir se trata de realizar una inspección profunda de paquetes (deep packet inspection o DPI) de las funciones, objetos, clases específicas asociadas a un determinado protocolo industrial, de manera que se asegure la integridad del protocolo. En el momento en que se produzca una inyección de código o se detecte que se quiere realizar una comunicación sobre un protocolo que no sea el autorizado, el dispositivo de segmentación bloqueará este intento, evitando así la alteración en la comunicación que se está llevando a cabo.

En cuanto a la utilización de estándares tradicionalmente vinculados a los entornos IT para encriptar y autenticar protocolos industriales (TLS, SSL, IPsec…), el punto clave es el configurar y/o incluir dispositivos que incorporen de forma sencilla esta capa de seguridad, teniendo en cuenta que los protocolos industriales tienen unas latencias específicas y que debe asegurarse la menor degradación en el rendimiento del sistema. Es decir es crucial evaluar el retardo en las latencias de las comunicaciones. Actualmente existente tecnologías que incorporan en origen y destino de la comunicación dispositivos hardware que permiten configurar redes privadas virtuales (VPN) entre los dispositivos de campo y los sistemas de tiempo real para que esta comunicación no se realice en claro.

Por último, la incorporación de dispositivos que permiten el cifrado del tráfico industrial a través de algoritmos como AES256 es una práctica que está estrechamente con la anteriormente descrita. En este caso, el escenario más común es que se quieran enviar datos de forma cifrada entre diferentes redes de operaciones distribuidas y un determinado centro de control. Para ello se incorporan una serie de dispositivos que cifran la información independientemente de que se trate de una red o un dispositivo específico, permitiendo comunicaciones N a N. Normalmente su configuración es muy sencilla reduciendo ostensiblemente el coste de propiedad de la solución. Tan sólo se configuran los canales de entrada y salida y no es necesario crear redes virtuales, ni por tanto llevar a cabo un redireccionamiento IP.